de en
Nexia Ebner Stolz

Rechtsberatung

Standardvertragsklauseln bei Auftragsverarbeitern in Drittländern

EuGH, C-311/18: Schlussanträge des Generalanwalts vom 19.12.2019

Nach An­sicht von Ge­ne­ral­an­walt Saug­man­ds­gaard Øe ist der Be­schluss 2010/87/EU der Kom­mis­sion über Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten an Auf­trags­ver­ar­bei­ter in Drittländern gültig.

Hin­ter­grund:
Die Da­ten­schutz-Grund­ver­ord­nung (Ver­ord­nung (EU) 2016/679 - DS­GVO) sieht wie die Richt­li­nie über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten (Richt­li­nie 95/46/EG), an de­ren Stelle sie ge­tre­ten ist, vor, dass per­so­nen­be­zo­gene Da­ten an ein Dritt­land über­mit­telt wer­den können, wenn die­ses für die Da­ten ein an­ge­mes­se­nes Schutz­ni­veau si­cher­stellt. Liegt kein Be­schluss der Kom­mis­sion vor, mit dem die An­ge­mes­sen­heit des Schutz­ni­veaus im be­tref­fen­den Dritt­land fest­ge­stellt wird, darf der für die Ver­ar­bei­tung Ver­ant­wort­li­che die Über­mitt­lung den­noch vor­neh­men, wenn er sie mit ge­eig­ne­ten Ga­ran­tien ver­sieht. Diese Ga­ran­tien können u. a. die Form ei­nes Ver­trags zwi­schen dem Ex­por­teur und dem Im­por­teur der Da­ten an­neh­men, der die in einem Be­schluss der Kom­mis­sion vor­ge­se­he­nen Stan­dard­da­ten­schutz­klau­seln enthält. Mit dem Be­schluss 2010/87/EU3 hat die Kom­mis­sion Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten an Auf­trags­ver­ar­bei­ter in Drittländern fest­ge­legt. Die vor­lie­gende Rechts­sa­che be­trifft die Gültig­keit die­ses Be­schlus­ses.

Der Sach­ver­halt:
Zur Vor­ge­schichte des Aus­gangs­rechts­streits gehört ein Ver­fah­ren, das von Ma­xi­mi­lian Schrems, einem öster­rei­chi­schen Nut­zer von Fa­ce­book, ein­ge­lei­tet wurde und be­reits zum Ur­teil des EuGH vom 6.10.2015 (C-362/14 - Ur­teil Schrems) geführt hat.

Die Da­ten der in der Union wohn­haf­ten Nut­zer von Fa­ce­book wie Herr Schrems wer­den von Fa­ce­book Ire­land, der iri­schen Toch­ter­ge­sell­schaft der Fa­ce­book Inc., ganz oder teil­weise an Ser­ver in den USA über­mit­telt und dort ver­ar­bei­tet. 2013 hatte Herr Schrems bei der für die Über­wa­chung der An­wen­dung der Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Da­ten zuständi­gen iri­schen Behörde (Kon­troll­stelle) eine Be­schwerde ein­ge­legt, mit der er gel­tend machte, dass an­ge­sichts der von Ed­ward Snow­den enthüll­ten Tätig­kei­ten der Nach­rich­ten­dienste der USA (ins­be­son­dere der NSA) das Recht und die Pra­xis der USA kei­nen aus­rei­chen­den Schutz der in die­ses Land über­mit­tel­ten Da­ten vor den Über­wa­chungstätig­kei­ten der Behörden gewähr­leis­te­ten. Die Kon­troll­stelle wies die Be­schwerde u. a. mit der Begründung zurück, dass die Kom­mis­sion in ih­rer Ent­schei­dung vom 26.7.2000 (Ent­schei­dung 2000/520/EG der Kom­mis­sion) an­ge­nom­men habe, dass die USA im Rah­men der sog. "Safe-Har­bor-Re­ge­lung" (um­fasst eine Reihe von Grundsätzen über den Schutz per­so­nen­be­zo­ge­ner Da­ten, de­ren Ein­hal­tung für Un­ter­neh­men frei­wil­lig ist) ein an­ge­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­gene Da­ten gewähr­leis­te­ten.

Mit dem Ur­teil Schrems hat der EuGH in Be­ant­wor­tung ei­ner Frage des Ho­hen Ge­richts­hofs in Ir­land die Safe-Har­bor-Ent­schei­dung für ungültig erklärt. Im An­schluss an das Ur­teil Schrems erklärte das vor­le­gende Ge­richt die Ent­schei­dung, mit der die Kon­troll­stelle die Be­schwerde von Herrn Schrems zurück­ge­wie­sen hatte, für nich­tig und ver­wies sie zur Prüfung zurück an die Kon­troll­stelle. Diese lei­tete eine Un­ter­su­chung ein und for­derte Herrn Schrems auf, seine Be­schwerde in An­be­tracht der Ungülti­gerklärung der Safe-Har­bor-Ent­schei­dung neu zu for­mu­lie­ren. Zu die­sem Zweck bat Herr Schrems Fa­ce­book Ire­land um An­gabe der Rechts­grund­la­gen, auf de­nen die Über­mitt­lun­gen der per­so­nen­be­zo­ge­nen Da­ten der Nut­zer von Fa­ce­book aus der Union in die USA be­ruh­ten. Fa­ce­book Ire­land ver­wies auf ein Da­tenüber­tra­gungs- und -ver­ar­bei­tungs­ab­kom­men (data trans­fer pro­ces­sing agree­ment) mit der Fa­ce­book Inc., das seit dem 20.11.2015 in Kraft sei, und be­rief sich auf den Be­schluss 2010/87.

In sei­ner neu for­mu­lier­ten Be­schwerde machte Herr Schrems zum einen gel­tend, dass die in dem Ab­kom­men ent­hal­te­nen Klau­seln nicht den Stan­dard­ver­trags­klau­seln des Be­schlus­ses 2010/87 ent­sprächen, und zum an­de­ren, dass diese Stan­dard­ver­trags­klau­seln je­den­falls keine Grund­lage für die Über­mitt­lung sei­ner per­so­nen­be­zo­ge­nen Da­ten in die USA sein könn­ten. Es gebe nämlich kei­nen Rechts­be­helf, mit dem die Be­trof­fe­nen in den USA ihre Rechte auf Ach­tung des Pri­vat­le­bens und auf Schutz der per­so­nen­be­zo­ge­nen Da­ten gel­tend ma­chen könn­ten. Herr Schrems be­an­tragte da­her bei der Kon­troll­stelle, diese Über­mitt­lung in An­wen­dung des Be­schlus­ses 2010/87 aus­zu­set­zen.

Mit ih­rer Un­ter­su­chung wollte die Kon­troll­stelle fest­stel­len, ob die USA einen an­ge­mes­se­nen Schutz für per­so­nen­be­zo­gene Da­ten der Uni­onsbürger si­cher­stel­len und - sollte dies nicht der Fall sein - ob der Rück­griff auf Stan­dard­ver­trags­klau­seln aus­rei­chende Ga­ran­tien für den Schutz ih­rer Grund­frei­hei­ten und Grund­rechte bie­tet. Da die Kon­troll­stelle zu dem Er­geb­nis kam, dass die Be­ar­bei­tung der Be­schwerde von Herrn Schrems von der Frage abhänge, ob der Be­schluss 2010/87 gültig sei, lei­tete sie beim High Court ein Ver­fah­ren ein, da­mit die­ser den EuGH hierzu be­frage. Der High Court ist dem An­trag die­ser Behörde auf Vor­lage ei­nes Er­su­chens um Vor­ab­ent­schei­dung nach­ge­kom­men.

Die Gründe:
Ge­ne­ral­an­walt Hen­rik Saug­man­ds­gaard Øe schlägt dem EuGH vor, zu ant­wor­ten, dass die Prüfung der Fra­gen nichts er­ge­ben habe, was die Gültig­keit des Be­schlus­ses 2010/87 be­einträch­ti­gen könnte.

Im Aus­gangs­rechts­streit geht es nur um die Fest­stel­lung, ob der Be­schluss 2010/87 gültig ist, mit dem die Kom­mis­sion die Stan­dard­ver­trags­klau­seln fest­ge­legt hat, die für die in der Be­schwerde von Herrn Schrems ge­nann­ten Über­mitt­lun­gen gel­tend ge­macht wor­den sind. Das Uni­ons­recht ist auf Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Da­ten in ein Dritt­land an­wend­bar, wenn diese Über­mitt­lun­gen zu ge­werb­li­chen Zwecken er­fol­gen, auch wenn die über­mit­tel­ten Da­ten durch Behörden die­ses Dritt­lands für Zwecke der na­tio­na­len Si­cher­heit ver­ar­bei­tet wer­den können. Zu­dem be­zwe­cken die Be­stim­mun­gen der DS­GVO über Über­mitt­lun­gen in Drittländer, ein kon­ti­nu­ier­lich ho­hes Schutz­ni­veau für per­so­nen­be­zo­gene Da­ten un­abhängig da­von si­cher­zu­stel­len, ob die Da­ten auf der Grund­lage ei­ner An­ge­mes­sen­heits­ent­schei­dung oder auf­grund ge­eig­ne­ter Ga­ran­tien über­mit­telt wer­den, die vom Ex­por­teur ge­ge­ben wer­den.

Die­ses Ziel wird je­doch je nach der Rechts­grund­lage, die für die Über­mitt­lung gilt, auf un­ter­schied­li­che Weise er­reicht. Ei­ner­seits soll mit ei­ner An­ge­mes­sen­heits­ent­schei­dung fest­ge­stellt wer­den, ob ein be­stimm­tes Dritt­land auf­grund des dort gel­ten­den Rechts und der dort gel­ten­den Pra­xis für die Grund­rechte der Per­so­nen, de­ren Da­ten über­mit­telt wer­den, ein Schutz­ni­veau si­cher­stellt, das dem Ni­veau, das sich aus der im Licht der Charta der Grund­rechte der Eu­ropäischen Union aus­ge­leg­ten Da­ten­schutz-Grund­ver­ord­nung er­gibt, im We­sent­li­chen gleich­wer­tig ist. An­de­rer­seits müssen die vom Ex­por­teur - ins­be­son­dere ver­trag­lich - ge­ge­be­nen ge­eig­ne­ten Ga­ran­tien selbst ein sol­ches Schutz­ni­veau si­cher­stel­len. Die Stan­dard­ver­trags­klau­seln der Kom­mis­sion für Über­mitt­lun­gen se­hen in­so­weit eine all­ge­meine Re­ge­lung vor, die un­abhängig vom Be­stim­mungs­land und dem dort si­cher­ge­stell­ten Schutz­ni­veau gilt.

Bei der Prüfung der Gültig­keit des Be­schlus­ses 2010/87 an­hand der Charta er­gibt sich, dass der Um­stand, dass der Be­schluss und die darin ent­hal­te­nen Stan­dard­ver­trags­klau­seln die Behörden des Dritt­be­stim­mungs­lan­des nicht bin­den wer­den und diese durch ihn so­mit nicht daran ge­hin­dert sind, dem Im­por­teur Pflich­ten auf­zu­er­le­gen, die mit der Be­ach­tung die­ser Klau­seln un­ver­ein­bar sind, für sich al­lein nicht zur Ungültig­keit des Be­schlus­ses führt. Die Ver­ein­bar­keit des Be­schlus­ses 2010/87 mit der Charta hängt da­von ab, ob aus­rei­chend wirk­same Re­ge­lun­gen be­ste­hen, mit de­nen sich si­cher­stel­len lässt, dass die auf die Stan­dard­ver­trags­klau­seln gestütz­ten Über­mitt­lun­gen aus­ge­setzt oder ver­bo­ten wer­den, wenn diese Klau­seln ver­letzt wer­den oder es unmöglich ist, sie ein­zu­hal­ten. Dies ist dann der Fall, wenn eine Pflicht - der für die Da­ten­ver­ar­bei­tung Ver­ant­wort­li­chen und, bei de­ren Untätig­keit, der Kon­troll­stel­len - be­steht, eine Über­mitt­lung aus­zu­set­zen oder zu ver­bie­ten, wenn auf­grund ei­nes Kon­flikts zwi­schen den sich aus den Stan­dard­ver­trags­klau­seln er­ge­ben­den Pflich­ten und den durch das Recht des Dritt­be­stim­mungs­lan­des auf­er­leg­ten Pflich­ten diese Klau­seln nicht ein­ge­hal­ten wer­den können.

Das vor­le­gende Ge­richt stellt be­stimmte Be­ur­tei­lun­gen der Kom­mis­sion im Be­schluss vom 12.7.2016, dem sog. Da­ten­schutz­schild-Be­schluss (Durchführungs­be­schluss (EU) 2016/1250), in­di­rekt in Frage. In die­sem Be­schluss hat die Kom­mis­sion fest­ge­stellt, dass die USA ein an­ge­mes­se­nes Schutz­ni­veau für die Da­ten gewähr­leis­ten, die im Rah­men der mit die­sem Be­schluss auf­ge­stell­ten Re­ge­lung aus der Union über­mit­telt wer­den, ins­be­son­dere in An­be­tracht der Ga­ran­tien, die bzgl. des Zu­gangs ame­ri­ka­ni­scher Nach­rich­ten­dienste zu die­sen Da­ten be­ste­hen, so­wie des Rechts­schut­zes, der Per­so­nen, de­ren Da­ten über­mit­telt wer­den, gewährt wird. Für die Ent­schei­dung über den Aus­gangs­rechts­streit scheint es nicht er­for­der­lich, dass der EuGH über die Gültig­keit des Da­ten­schutz­schild-Be­schlus­ses ent­schei­det, da der Rechts­streit nur die Gültig­keit des Be­schlus­ses 2010/87 be­trifft. Gleich­wohl führt der Ge­ne­ral­an­walt hilfs­weise aus, aus wel­chen Gründen sich für ihn im Hin­blick auf die Rechte auf Ach­tung des Pri­vat­le­bens, auf Schutz per­so­nen­be­zo­ge­ner Da­ten und auf einen wirk­sa­men Rechts­be­helf Fra­gen bezüglich der Gültig­keit des Da­ten­schutz­schild-Be­schlus­ses stel­len.

nach oben